Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用あるあるをどう乗りこなしているか
Search
Yuto Komai
August 27, 2023
Technology
0
580
AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用あるあるをどう乗りこなしているか
2023/8/26
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
Session12の資料です。
Yuto Komai
August 27, 2023
Tweet
Share
More Decks by Yuto Komai
See All by Yuto Komai
GDC report in Akatsuki Geek Live#2
yutokomai
1
2.6k
mercari-GDC2019-stadia-report
yutokomai
2
2.3k
ECS Fargate build on AWS CodeBuild
yutokomai
5
3.3k
Other Decks in Technology
See All in Technology
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
17k
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
140
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.5k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
940
Building Dashboards as a Hobby
egmc
0
340
2024春 注目のWeb系 OSS & SaaS 3選
makies
0
170
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
130
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
1.4k
今年のRubyKaigiはProfiler Year🤘
osyoyu
0
260
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
150
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
240
Featured
See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
Gamification - CAS2011
davidbonilla
76
4.6k
Being A Developer After 40
akosma
64
580k
Art, The Web, and Tiny UX
lynnandtonic
290
19k
Designing the Hi-DPI Web
ddemaree
276
33k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
5
1.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
Building a Modern Day E-commerce SEO Strategy
aleyda
20
6.4k
Infographics Made Easy
chrislema
238
18k
Mobile First: as difficult as doing things right
swwweet
217
8.6k
Transcript
AWS Config 設定しておけ OK! …じゃないって本当? AWS Config 運用あるあるを どう乗りこなしているか
自己紹介 アカツキゲームス Yuto Komai / 駒井 祐人 e__koma 過去 実績等
• AWS Summit Online 2020 ◦ 今回 クラウドセキュリティ 話 • AWS Summit Tokyo 2019 ◦ モバイルゲーム ECS 運用 + 大規模負荷テスト 話 • AWS official YouTube channel ◦ ECS スケーリング 簡易的な説明
話すこと AWS Config 具体的な運用例
話 前提 • Organizations 配下に AWS アカウントが数十個以上存在し 定期的に増減するような状況を想定 • Config
社内セキュリティポリシーを守るため 1つ ツール ◦ (脅威検知や脆弱性管理など総合的な仕組みが必要で、 Config 運用しときゃクラウド セキュリティ バッチリ、という話で ないことを事前に補足)
AWS Config と (今回 必須知識) AWS セキュリティ監査を自動化できるサービス 例: • 全世界にパブリックな
Security Group が作られた • S3 にパブリック読み取りアクセスが許可されている • RDS スナップショットが公開されてしまっている 適切に運用すれ 「誰かが」「知らない間に」 「手動で」「別リージョンで」全世界公開 サーバを立ててしまった。こんなサーバも自動検知できる。
最高じゃん! … と思いきや?
あるある① 意図した公開サーバも問答無用に NG
公開サーバ 全て非準拠 (NG) として検知する 意図した公開まで全てルール非準拠 (NG) となってしまう。 柔軟性がないルール 多く、NG 結果を多く残しておくと
本当に対応すべきリソースかどうか判断が鈍る で対処したい。
解決策: カスタムルール Lambda 運用 ※ アーキテクチャ 後ほど話します
カスタムルール Lambda 運用 1. 例外登録 個別アカウント 個別 ResourceId を検知対象外にする仕組みを構築
Q. マネージドで実現する方法 ? A. Config 単体で できませんが、 Security Hub と統合することで、
例外登録に準ずる機能が 最近 (やっと...) 可能に。 ※ 登録できるルール 個数上限やメンバーアカウント Config 見え方など まだもう一声という印象 あるが、かなり改善した
カスタムルール Lambda 運用 2. カスタムポリシー 実現 社内ポリシーに合わせて Config ルールを作成している △
Config ルールがあるから、それに準ずる ◯ 社内ポリシー(※1) を整備し、マッチするも Config を利用。 足りない部分 カスタムルールで解決する。(※2) (※1) ISO など業界標準に準拠しつつ自社向けにカスタマイズしたポリシー (※2) awslabs に PR を投げてマージされたことも
カスタムルール Lambda 運用 2. カスタムポリシー 実現 例: セキュリティグループに許可できる IP 数
N 個以下まで (頼むからやめてくれ 図
カスタムルール Lambda 運用
カスタムルール Lambda 運用 3. 全アカウント一括自動デプロイ • CloudFormation StackSets で全アカウントに一括デプロイ •
新規 AWS アカウント作成時にも自動的にデプロイされる 詳細 AWS Summit 2020 資料を参考に ( 最近で Config を Organization に一括デプロイする機能もあるが、 StackSets 他 リソースで も利用している で引き続き StackSets を利用している )
あるある② 例 アラート 対応してくれてる ?
クラウドセキュリティ担当 スコープ #マルチクラウド #全アカウント #全リージョン #子会社 加えて Config 以外 アラートもある。日々発生するアラート
反応できるが、 新しいアラートがどんどん通知されるため、1個1個対応状況を管理してられな い。 あれ...例 アラートって 「反応 してもらえたけど、対応 進んでる ...?」
アラート管理 工夫 • リアルタイム通知 管理者へ自動メンション • 定期サマリ 対応状況 定期まとめ通知 セキュリティ担当
インシデントレベルが高そうな通知と まとめ通知 みに反応していれ 運用スケール可能に
あるある③ NG 検知 ゴミ
NG 検知がゴミとして残ってしまう AWS アカウントを解約しても90日間 リソースが残り続けてしまう • Config NG 結果を放置して解約すると 集約アカウントに
消せないNG結果 (ゴミ) が残り続けてしまう • 集約している EventBridge なども飛んでくる • Route53 なども消しておく が吉 アカウント解約時 事前にリソース削除をしましょう
あるある④ 知らない間に Config ルールが増える
あなた 知らない Config 世界 AWS blog を毎日チェックしているみなさん! 残念ながら Config 最新情報
キャッチアップできておりません
あなた 知らない Config 世界 AWS blog を毎日チェックしているみなさん! 残念ながら Config 最新情報
キャッチアップできておりません なぜなら、マネージド Config Rule 定期的にしれっと追加されるから 昔 ブログになってたんだけど ...
最新 Config ルール 取得と管理 最新 Config ルールを自動チェックする仕組みを作り 定期的に導入可否を判断している • チェック済み
ルール一覧を保持 • チェックしてない Config ルールがあれ 定期通知 • 一覧を更新
そ 他
そ 他、色んなパターン 検知 カスタムルールを充実させる運用が回ると クラウド設定以外 ポリシー検知も捗ります 例 • EDR がサーバ上で動いているか自動検知
• WordPress 管理画面に IP 制限がかかっているか検知 などなど
運用を工夫すれ 、アカウントが増えても スケールする仕組みを実現可能です 幸せな CSPM ライフを!!